Was ist Shopify?
Shopify ist eine Cloud-basierte E-Commerce-Plattform, die es Händlern erlaubt, auch ohne Programmierkenntnisse Online-Shops zu erstellen und zu betreiben. Shopify übernimmt dabei das Hosting und die Verwaltung. Über ein Ökosystem von externen „Apps“, die in den eigenen Shop eingebunden werden können, sind Shopify-Shops leicht erweiterbar um Funktionen für Buchhaltung, Logistik, Marketing oder Rechtssicherheit.
Shopify Inc., ist ein Kanadisches Unternehmen und hat seinen Hauptsitz in 151 O’Connor Street, Ground floor, Ottawa, Ontario, K2P 2L8.
Shopify betreibt Online-Präsenzen für über 2 Millionen Händler, der Shopify App Store enthält 13.000 Apps.
Ist Shopify DSGVO-konform?
Für eine Beurteilung der DSGVO-Konformität ist u.A. relevant, in welchen Ländern Shopify personenbezogene Daten verarbeitet, wobei nicht nur die Standorte der Rechenzentren, sondern auch der Hauptsitze der beteiligten Unternehmen berücksichtig werden müssen.
Shopify ist ein kanadisches Unternehmen und nutzt als Hosting-Infrastruktur die Google Cloud Platform (USA). Zusätzlich wird zur Skalierung das Content-Delivery-Network des Unternehmens Cloudflare eingesetzt (ebenfalls USA).
Eine Datenverarbeitung ist grundsätzlich nur für Länder in der EU zulässig oder für solche, für die es einen Angemessenheitsbeschluss gibt. Dies ist bei Kanada der Fall. Für die USA liegt ein Angemessenheitsbeschluss vor für Unternehmen, die zertifiziert im EU-US-Data Privacy Network sind. Cloudflare und Google sind beide im DPF zertifiziert (Stand 05.08.2024), damit ist die Nutzung zunächst rechtlich zulässig.
Shopify-Shops greifen aber praktisch immer auf zusätzliche externe Dienste zurück, die teilweise ebenfalls personenbezogene Daten verarbeiten oder Cookies setzen, und damit für die Beurteilung der DSGVO-Konformität relevant sind.
Für einen DSGVO-konformen Einsatz müssen zusätzlich noch weitere Pflichten erfüllt werden (s.u.).
Werden durch Shopify Cookies gesetzt?
Shopify setzt nach eigenen Angaben die folgenden Cookies:
| _identity_session | Enthält die ID der Identitätssitzung des Nutzers. | 2y |
| checkout | Wird in Verbindung mit dem Checkout verwendet. | 21d |
| user | Wird in Verbindung mit dem Shop-Login verwendet. | 1y |
| _assignment | Shopify-Analysen | 1y |
| _landing_page | Erfasst die Landing Page von Besuchern, die von anderen Websites kommen. | 2w |
| _orig_referrer | Ermöglicht es Händlern zu erkennen, von welchen Orten die Besucher zu ihnen kommen. | 2w |
| _shopify_s | Dient zur Identifizierung einer bestimmten Kombination aus Browsersitzung und Shop. Wird jeweils nach 30 Minuten nach der letzten Nutzung automatisch gelöscht. | 30min |
| _shopify_sa_t | Erfasst die Landing Page von Besuchern, die von anderen Websites kommen, um Marketing-Analysen zu unterstützen. | 30min |
| _shopify_y | Shopify-Analysen | 1y |
Wie prüft man externe Dienste und Cookies in einem Shopify-Shop?
Ein wesentlicher Bestandteil der DSGVO-Konformität eines Shopify-Stores ist der Einsatz eines Consent-Banners, damit Benutzer eine rechtskonforme Einwilligung geben können. Bevor diese erteilt wurde, dürfen keine Dienste geladen werden, die eine Einwilligung benötigen, und es dürfen auch keine Cookies gesetzt werden, die nicht für den Betrieb des Shops notwendig sind.
Wenn Apps im Shop verwendet werden, so werden oft Verbindungen zum Webserver des Betreibers der App aufgebaut, und die Apps setzen möglicherweise auch Cookies. Eine Bewertung muss im Einzelfall erfolgen.
Idealerweise sollte der Shop ohne Eiwilligung keine Netzwerkaufrufe zur Servern durchführen, die nicht zu Shopify gehören, d.h. zu anderen Domains als
- Ihre Shop-Domain
- shopify.com
- shopifycdn.com
- shopifycloud.com
- shop.app
Which of Shopify’s cookies can be considered technically necessary is controversial, but of those mentioned above, at most the cookies _identity_session, checkout and user should be set without consent.
Um diese Checks durchzuführen empfehlen wir den Einsatz einer automatisierten Lösung wie decareto Compliance Monitoring, denn eine manuelle Prüfung ist meistens nur schwer realisierbar. Zudem erfordert der Einsatz von Marketing-Maßnahmen in Online-Shops eine dauerhafte und regelmäßige Überwachung. Wie Sie die Einwilligung für Cookies und Dienste mit kostenfreien Tools manuell überprüfen zeigen wir ausführlich in unserem E-Book „Der Datenschutz Technik Guide“.
Wie setzt man Shopify DSGVO-konform ein?
Der rechtskonforme Einsatz von Shopify ist nicht trivial, insb. durch den Einsatz von Apps, die möglicherweise ebenfalls personenbezogene Daten verarbeiten. Es sind u.A. die folgenden Punkte zu beachten:
- Anpassung der Datenschutzerklärung
- Verwendung eines korrekt konfigurierten Consent-Banners
- Abschluss von Verträgen zur Auftragsdatenverarbeitung mit Shopify sowie den Betreibern der Apps
Wir empfehlen, dafür externe Datenschutzberatung in Anspruch zu nehmen.
| Bitte beachten Sie, dass dieser Artikel keine Rechtsberatung darstellt. |
